Utiliser le playbook Historique Bash de suppression par l’utilisateur

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 1 minute de lecture

    • Utilisez ce playbook pour enquêter sur les incidents qui indiquent si quelqu’un essayait de supprimer le fichier d’historique bash d’un serveur Linux. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires qui sont disponibles dans le playbook Suppression utilisateur de l’historique Bash (.bash_history).

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vérifiez si le serveur est une instance de test ou de démonstration.
    2. Dans l’action 2, si le serveur n’est pas une instance de test ou de démonstration, procédez comme suit :
      1. Dans l’action 3, collectez les informations suivantes pour l’alerte :
        • Nom d'utilisateur
        • Adresse IP
        • Commandes malveillantes tentant de supprimer l’historique bash
        • Toutes les commandes exécutées par l’utilisateur, si elles sont disponibles dans les journaux CrowdStrike.
      2. Dans l’action 4, connectez-vous au serveur et exécutez la dernière commande pour afficher le dernier utilisateur connecté.
      3. Dans l’action 5, identifiez s’il y a eu des activités de mouvement latéral de la part de l’utilisateur (source : Splunk, CrowdStrike, localhost).
      4. Dans l’action 6, examinez les activités qui se déroulent autour de ces actions suspectes.
        Figure 1. Suppression par l’utilisateur du playbook d’historique Bash
        Tâche de réponse pour examiner les activités se produisant autour de ces actions suspectes.
      5. Dans l’action 7, continuez à travailler avec vos pairs et impliquez le responsable régional de la réponse aux incidents dans la décision de continuer ou non à surveiller l’utilisateur.
      6. Dans Action 8, déterminez si l’activité est malveillante ou non.
      7. Dans l’action 9, si l’activité est malveillante, procédez comme suit :
        1. Dans l’action 10, pendant l’enquête, contactez l’assistance informatique et demandez un gel de compte.
        2. Dans l’action 11, assurez-vous que l’instance est restaurée à un état normal exempt d’activités malveillantes.
        3. Dans l’action 12, lever le confinement et ramener les systèmes aux normes opérationnelles.
        4. Dans l’action 13, lancez une revue post-incident.

          Dans l’action 14, après la revue post-incident, le flux se termine.

        Figure 2. Utilisation du playbook Historique Bash de suppression par l’utilisateur
        Tâche de réponse pour vérifier si l’activité est malveillante.
      8. Dans l’Action 15, si l’activité n’est pas malveillante, contactez le responsable de l’utilisateur dans l’Action 16.
        Vous pouvez utiliser le modèle d’e-mail fourni pour contacter le responsable de l’utilisateur et l’informer de l’approche recommandée.
    3. Dans l’action 17, documentez les résultats obtenus jusqu’à présent.
    4. Dans l’action 18, terminez la revue post-incident avant de fermer la tâche.